GitHub
O malware é capaz de identificar arquivos de projeto NetBeans e adicionar seu código aos arquivos de projeto e arquivos JAR compilados. O algoritmo de trabalho se resume a encontrar o diretório NetBeans com os projetos do usuário, enumerar todos os projetos neste diretório, copiar o script malicioso para
Quando o arquivo JAR infectado foi baixado e iniciado por outro usuário, outro ciclo de busca pelo NetBeans e introdução de código malicioso foi iniciado em seu sistema, o que corresponde ao modelo operacional de vírus de computador autopropagáveis. Além da funcionalidade de autopropagação, o código malicioso também inclui funcionalidade backdoor para fornecer acesso remoto ao sistema. No momento do incidente, os servidores de controle backdoor (C&C) não estavam ativos.
No total, ao estudar os projetos afetados, foram identificadas 4 variantes de infecção. Em uma das opções, para ativar o backdoor no Linux, foi criado um arquivo de inicialização automática “$HOME/.config/autostart/octo.desktop” e, no Windows, as tarefas foram iniciadas via schtasks para iniciá-lo. Outros arquivos criados incluem:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
O backdoor poderia ser usado para adicionar marcadores ao código desenvolvido pelo desenvolvedor, vazar código de sistemas proprietários, roubar dados confidenciais e assumir o controle de contas. Os pesquisadores do GitHub não descartam que a atividade maliciosa não se limita ao NetBeans e pode haver outras variantes do Octopus Scanner incorporadas no processo de construção baseado em Make, MsBuild, Gradle e outros sistemas para se espalharem.
Os nomes dos projetos afetados não são mencionados, mas podem ser facilmente
Fonte: opennet.ru